什么是XSS脚本?
跨站脚本攻击(XSS),是最普遍的Web应⽤安全漏洞。这类漏洞能够使得攻击者嵌⼊恶意脚本代码到正常⽤ ⼾会访问到的⻚⾯中,当正常⽤⼾访问该⻚⾯时,则可导致嵌⼊的恶意代码的执行,达成攻击
通俗的讲可以说是html注入,找到输入点,提交一段html恶意代码,达成攻击效果
XSS的几种类型
反射型XSS:反射型xss攻击是⼀次性的,仅对当次的⻚⾯访问产⽣影响,反射型xss攻击要求⽤⼾访问⼀个被攻击者精⼼构造的链接,⽤⼾访问该链接时,被植⼊的攻击脚本被⽤⼾游览器执⾏,从而达到攻击⽬的.
举个栗子,有一天看到朋友小王在刷朋友圈看到了一个漂亮的小姐姐,猥琐的小王生出了猥琐的想法,想知道小姐姐家住哪,于是过来找迪诺帮忙,gps手机定位肯定没那个实力,于是迪诺想到了个办法,反射性XSS注入,只要小姐姐点击给她发的链接,就会转到一个页面并获取经纬度信息并发送到攻击者的服务器上,嘻嘻到时候位置就搞定了,于是找到了一个小姐姐经常看的一个第三方追剧网站的登录处插入了恶意代码,果不其然,到了晚上时间,传回来了小姐姐的经纬度,嘻嘻.
存储型XSS:存储型xss,攻击者的数据被存储在服务器端,攻击⾏为将伴随着⽤⼾每次的访问⼀直存在,现在存储型XSS可以说是高危漏洞了,因为数据被存在了服务器端保存了下来,所以危害也就更大.
DOM型XSS 不经过后端,DOM—based XSS漏洞是基于⽂档对象模型Document Objeet Model,DOM)的⼀种漏 洞,dom - xss是通过url传⼊参数去控制触发的。 DOM:⽂档对象模型(Document Object Model,简称DOM),是W3C组织推荐的处理可扩展置标语⾔的 标准编程接口。它是⼀种与平台和语⾔⽆关的应⽤程序接口(API),它可以动态地访问程序和脚本,更新其内 容、结构和www⽂档的⻛格(⽬前,HTML和XML⽂档是通过说明部分定义的)。
